コンプライアンスのために Jamf Pro を Intune と統合するIntegrate Jamf Pro with Intune for compliance

組織で Jamf Pro を使用して macOS デバイスを管理している場合、Azure Active Directory (Azure AD) 条件付きアクセスと共に Microsoft Intune コンプライアンス ポリシーを使用することで、組織内のデバイスから会社のリソースにアクセスする前に、準拠していることを確認できるようになります。When your organization uses Jamf Pro to manage macOS devices, you can use Microsoft Intune compliance policies with Azure Active Directory (Azure AD) Conditional Access to ensure devices in your organization are compliant before they can access company resources. Jamf Pro を Intune と統合するには、次の 2 つの方法があります。To integrate Jamf Pro with Intune, you have two options:

  • 統合を手動で構成する - この記事の情報を使用して、Jamf と Intune の統合を手動で構成します。Manually configure integration - Use the information in this article to manually configure Jamf integration with Intune.
  • Jamf Cloud コネクタを使用する (推奨) - Microsoft Intune での Jamf Cloud コネクタの使用に関する記事に記載された情報を使用して、Jamf Cloud コネクタをインストールし、Jamf Pro を Microsoft Intune と統合します。Use the Jamf Cloud Connector (recommended) - Use the information in Use the Jamf Cloud Connector with Microsoft Intune to install the Jamf Cloud Connector to integrate Jamf Pro with Microsoft Intune. このクラウド コネクタでは、統合を手動で構成するときに必要となる手順の多くを自動化します。The Cloud Connector automates many of the steps that are required when you manually configure integration.

Jamf Pro を Intune と統合すると、Azure AD を使用して、macOS デバイスからのインベントリ データを Intune と同期できるようになります。When Jamf Pro integrates with Intune, you can sync the inventory data from macOS devices with Intune, through Azure AD. Intune のコンプライアンス エンジンでは、インベントリ データが分析され、レポートが生成されます。Intune's compliance engine then analyzes the inventory data to generate a report. Intune の分析がデバイス ユーザーの Azure AD ID に関するインテリジェンスと組み合わされ、条件付きアクセスによる適用が促進されます。Intune's analysis is combined with intelligence about the device user's Azure AD identity to drive enforcement through Conditional Access. 条件付きアクセス ポリシーに準拠しているデバイスは、保護された会社のリソースにアクセスできます。Devices that are compliant with the Conditional Access policies can gain access to protected company resources.

統合を構成した後は、Jamf によって管理されているデバイスに条件付きアクセスにコンプライアンスを適用するように Jamf と Intune を構成します。After you configure integration, you'll then configure Jamf and Intune to enforce compliance with Conditional Access on devices managed by Jamf.

[前提条件]Prerequisites

製品とサービスProducts and services

Jamf Pro で条件付きアクセスを構成するには、次のものが必要です。You need the following to configure Conditional Access with Jamf Pro:

ネットワーク ポートNetwork ports

Jamf と Intune を適切に統合するには、次のポートにアクセスできる必要があります。The following ports should be accessible for Jamf and Intune to integrate correctly:

  • Intune:ポート 443Intune: Port 443
  • Apple:ポート 2195、2196、および 5223 (Intune へのプッシュ通知)Apple: Ports 2195, 2196, and 5223 (push notifications to Intune)
  • Jamf:ポート 80 および 5223Jamf: Ports 80 and 5223

APNs がネットワーク上で正常に機能するには、以下への送信接続と以下からのリダイレクトも有効にする必要があります。To allow APNS to function correctly on the network, you must also enable outgoing connections to, and redirects from:

  • すべてのクライアント ネットワークからの TCP ポート 5223 および 443 上の Apple 17.0.0.0/8 ブロック。the Apple 17.0.0.0/8 block over TCP ports 5223 and 443 from all client networks.
  • Jamf Pro サーバーからのポート 2195 および 2196。ports 2195 and 2196 from Jamf Pro servers.

これらのポートの詳細については、次の記事を参照してください。For more information about these ports, see the following articles:

Intune を Jamf Pro に接続するConnect Intune to Jamf Pro

Intune を Jamf Pro に接続するには:To connect Intune with Jamf Pro:

  1. Azure 内で新しいアプリケーションを作成します。Create a new application in Azure.
  2. Intune の Jamf Pro との統合を有効にします。Enable Intune to integrate with Jamf Pro.
  3. Jamf Pro 内で条件付きアクセスを構成します。Configure Conditional Access in Jamf Pro.

Azure Active Directory でアプリケーションを作成するCreate an application in Azure Active Directory

  1. Azure portal で、 [Azure Active Directory] > [アプリの登録] に移動し、 [New registration](新規登録) を選択します。In the Azure portal, go to Azure Active Directory > App Registrations, and then select New registration.

  2. [アプリケーションの登録] ページで、次の詳細を指定します。On the Register an application page, specify the following details:

    • [名前] セクションで、わかりやすいアプリケーション名を入力します (例: Jamf 条件付きアクセス)。In the Name section, enter a meaningful application name, for example Jamf Conditional Access.
    • [サポートされているアカウントの種類] セクションで、 [任意の組織のディレクトリ内のアカウント] を選択します。For the Supported account types section, select Accounts in any organizational directory.
    • [リダイレクト URI] については、既定値の [Web] のままにして、Jamf Pro インスタンスの URL を指定します。For Redirect URI, leave the default of Web, and then specify the URL for your Jamf Pro instance.
  3. [登録] を選択してアプリケーションを作成し、新しいアプリの [概要] ページを開きます。Select Register to create the application and to open the Overview page for the new app.

  4. アプリの [概要] ページで、 [Application (client) ID](アプリケーション (クライアント) ID) の値をコピーし、後で使うので記録しておきます。On the app Overview page, copy the Application (client) ID value and record it for later use. この値は後の手順で必要になります。You'll need this value in later procedures.

  5. [管理][証明書とシークレット] を選択します。Select Certificates & secrets under Manage. [New client secret](新しいクライアント シークレット) ボタンを選択します。Select the New client secret button. [説明] に値を入力し、 [有効期限] で任意のオプションを選択して、 [追加] を選択します。Enter a value in Description, select any option for Expires and choose Add.

    重要

    このページを終了する前に、クライアント シークレットの値をコピーし、後で使うので記録しておきます。Before you leave this page, copy the value for the client secret and record it for later use. この値は後の手順で必要になります。You will need this value in later procedures. この値は、アプリの登録を作り直さない限り、再び入手することはできません。This value isn't available again, without recreating the app registration.

  6. [管理][API のアクセス許可] を選択します。Select API permissions under Manage.

  7. [API のアクセス許可] ページで、既存の各アクセス許可の横にある [...] アイコンを選択することで、このアプリからすべてのアクセス許可を削除します。On the API permissions page, remove all permissions from this app by selecting the ... icon next to each existing permission. これは必須です。このアプリの登録で、予期しない追加のアクセス許可がある場合、統合は成功しません。Note that this is required; the integration will not succeed if there are any unexpected extra permissions in this app registration.

  8. 次に、デバイス属性を更新するアクセス許可を追加します。Next, we will add permissions to update device attributes. [API のアクセス許可] ページの左上で、 [アクセス許可の追加] を選択して新しいアクセス許可を追加します。At the top left of the API permissions page, select Add a permission to add a new permission.

  9. [API アクセス許可の要求] ページで、 [Intune] を選択して、 [アプリケーションのアクセス許可] を選択します。On the Request API permissions page, select Intune, and then select Application permissions. update_device_attributes のチェック ボックスだけをオンにして、新しいアクセス許可を保存します。Select only the check box for update_device_attributes and save the new permission.

  10. 次に、 [API のアクセス許可] ページの左上にある [ <your tenant> に管理者の同意を与えます] を選択して、このアプリに管理者の同意を付与します。Next, grant admin consent for this app by selecting Grant admin consent for <your tenant> in the top left of the API permissions page. 新しいウィンドウで自分のアカウントを再認証し、プロンプトに従って、アプリケーションにアクセス権限を付与する必要がある場合があります。You may need to re-authenticate your account in the new window and grant the application access by following the prompts.

  11. ページの上部にある [更新] ボタンをクリックしてページを更新してください。Refresh the page by click on the Refresh button at the top of the page. update_device_attributes アクセス許可に対して管理者の同意が与えられていることを確認します。Confirm that admin consent has been granted for the update_device_attributes permission.

  12. アプリが正常に登録されると、API アクセス許可に含まれるアクセス許可は update_device_attributes だけになり、次のように表示されるはずです。After the app is registered successfully, the API permissions should only contain one permission called update_device_attributes and should appear as follows:

成功したアクセス許可

Azure AD でのアプリの登録プロセスは完了です。The app registration process in Azure AD is complete.

注意

クライアント シークレットの有効期限が切れた場合は、Azure で新しいクライアント シークレットを作成し、Jamf Pro で条件付きアクセス データを更新する必要があります。If the client secret expires, you must create a new client secret in Azure and then update the Conditional Access data in Jamf Pro. Azure では、サービスの中断を防ぐため、古いシークレットと新しいキーの両方をアクティブにすることができます。Azure allows you to have both the old secret and new key active to prevent service disruptions.

Intune の Jamf Pro との統合を有効にするEnable Intune to integrate with Jamf Pro

  1. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.

  2. [テナント管理] > [コネクタとトークン] > [パートナー デバイスの管理] の順に選択します。Select Tenant administration > Connectors and tokens > Partner device management.

  3. 前の手順の間に保存したアプリケーション ID を [Jamf の Azure Active Directory アプリ ID を指定します] フィールドに貼り付けることによって、 [Jamf の準拠コネクタ] を有効にします。Enable the Compliance Connector for Jamf by pasting the Application ID you saved during the previous procedure into the Specify the Azure Active Directory App ID for Jamf field.

  4. [保存] を選択します。Select Save.

Jamf Pro で Microsoft Intune 統合を構成するConfigure Microsoft Intune Integration in Jamf Pro

  1. Jamf Pro コンソールで接続をアクティブにします。Activate the connection in the Jamf Pro console:

    1. Jamf Pro コンソールを開き、 [グローバル管理] > [条件付きアクセス] の順に移動します。Open the Jamf Pro console and navigate to Global Management > Conditional Access. [macOS Intune Integration](macOS Intune 統合) タブの [編集] ボタンをクリックします。Click the Edit button on the macOS Intune Integration tab.
    2. [Enable Intune Integration for macOS](macOS の Intune 統合の有効化) チェック ボックスをオンにします。Select the check box for Enable Intune Integration for macOS.
    3. 場所ドメイン名アプリケーション ID、およびアプリを作成するときに Azure AD に保存したクライアント シークレットの値など、Azure テナントについての必要な情報を入力します。Provide the required information about your Azure tenant, including Location, Domain name, the Application ID, and the value for the client secret that you saved when you created the app in Azure AD.
    4. [保存] を選択します。Select Save. Jamf Pro によって設定がテストされ、成功したことが確認されます。Jamf Pro tests your settings and verifies your success.

    Intune の [パートナー デバイスの管理] ページに戻り、構成を完了します。Return to the Partner device management page in Intune to complete the configuration.

  2. Intune で、 [パートナー デバイスの管理] ページに移動します。In Intune, go to the Partner device management page. [コネクタの設定] で、割り当てのグループを構成します。Under Connector Settings configure groups for assignment:

    • Jamf で macOS 登録の対象にするユーザー グループを指定するには、 [含める] を選択します。Select Include and specify which User groups you want to target for macOS enrollment with Jamf.
    • Jamf で登録せず、mac を直接、Intune で登録するユーザー グループを選択するには、 [除外する] を選択します。Use Exclude to select groups of Users that won't enroll with Jamf and instead will enroll their Macs directly with Intune.

    [除外する][含める] より優先されます。つまり、両方のグループに属するデバイスは Jamf から除外され、Intune で登録されます。Exclude overrides Include, which means any device that is in both groups is excluded from Jamf and directed to enroll with Intune.

    注意

    ユーザー グループを含めるか除外するこの手法は、ユーザーの登録体験に影響を与えます。This method of including and excluding user groups affects the enrollment experience of the user. 既に Jamf か Intune に mac を登録しているユーザーが他の MDM による登録の対象になった場合、デバイスの登録を解除し、新しい MDM で再登録しないとデバイスの管理が正しく機能しません。Any user with a Mac thats already enrolled in either Jamf or Intune who is then targeted to enroll with the other MDM must unenroll their device and then re-enroll it with the new MDM before management of the device works properly.

  3. [評価] を選択すると、グループ構成に基づき、Jamf で登録されるデバイスの数が決定されます。Select Evaluate to determine how many devices will be enrolled with Jamf, based on your group configurations.

  4. 構成を適用する準備ができたら、 [保存] を選択します。Select Save when you're ready to apply the configuration.

  5. 続行するには、次に、ユーザーが自分のデバイスを Intune に登録できるように、Jamf を使用してポータル サイトを mac 用に展開する必要があります。To proceed, you will next need to use Jamf to deploy the Company Portal for Mac so that users can register their devices to Intune.

コンプライアンス ポリシー設定してデバイスを登録するSet up compliance policies and register devices

Intune と Jamf の統合を構成したら、Jamf で管理されたデバイスにコンプライアンス ポリシーを適用する必要があります。After you configure integration between Intune and Jamf, you need to apply compliance policies to Jamf-managed devices.

Jamf Pro と Intune を切断するDisconnect Jamf Pro and Intune

Jamf Pro と Intune の統合を解消する必要がある場合は、次の手順に従って、Jamf Pro コンソール内から接続を削除します。この情報は、手動で構成された統合と、クラウド コネクタを使用した統合の両方に適用されます。Should you need to remove integration of Jamf Pro with Intune, use the following steps to remove the connection from within the Jamf Pro console.This information applies to both the a manually configured integration, as well as integration by using the Cloud Connector.

  1. Jamf Pro で、 [グローバル管理] > [条件付きアクセス] に移動します。In Jamf Pro, go to Global Management > Conditional Access. [macOS Intune Integration](macOS Intune 統合) タブで、 [編集] を選択します。On the macOS Intune Integration tab, select Edit.

  2. [Enable Intune Integration for macOS](macOS の Intune 統合の有効化) チェック ボックスをオフにします。Clear the Enable Intune Integration for macOS check box.

  3. [保存] を選択します。Select Save. Jamf Pro によって構成が Intune に送信され、統合が終了します。Jamf Pro sends your configuration to Intune and the integration will be terminated.

  4. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.

  5. [テナント管理] > [コネクタとトークン] > [パートナー デバイスの管理] の順に選択して、状態が [終了] になっていることを確認します。Select Tenant administration > Connectors and tokens > Partner device management to verify that the status is now Terminated.

    注意

    組織の Mac デバイスは、コンソールに表示されている日付 (3 か月後) に削除されます。Your organization's Mac devices will be removed at the date (3 months) shown in your console.

次のステップNext steps